Web Logic Attacks
دربارهی دوره
امروزه به دلیل گسترش کسبوکارهای اینترنتی و تعامل بیشتر مخاطبین و سرویسدهندهها در بستر اینترنت، اپلیکیشنهای وب و موبایل نقش مهمی در روزمرگیهای ما پیدا کردهاند. این امر موجب افزایش حملات بر روی این اپلیکیشنها نیز شده است. به صورت کلی آسیبپذیریهای سمت وب به دو دستهی فنی و منطقی تقسیم میشوند. با پیشرفت تکنولوژیهای امنیتی مانند WAF، پیادهسازی حملات فنی مانند SQL Injection, XSS و… دشوارتر شده است.
با توجه به موارد ذکر شده، امروزه دستهی دیگری از آسیبپذیریها به نام آسیبپذیریهای منطقی، مورد توجه بسیاری از متخصصین امنیت قرار گرفته است. در واقع انجام هر عملیاتی مانند ثبتنام یا ورود به سامانه، نیازمند طیشدن فرآیند مشخصی در وبسایتها است. در صورتی که یک شخص بتواند فرآیند از پیش تعیین شده را تغییر دهد و یا نقصی در آن ایجاد کند، به یک آسیبپذیری منطقی دست پیدا کرده است. آشنایی و شناخت این دسته از حملات، خود میتواند منجر به یافتن تعداد بیشتری از آسیبپذیریها شود که این امر هم در بحث تست نفوذ و هم در بحث باگبانتی بسیار تاثیرگذار خواهد بود.
شما با حضور در دورهی Web Logic Attacks ضمن آشنایی با این نوع از آسیبپذیریها، موارد متعددی از حملات منطقی مانند مفاهیم آسیبپذیریهای منطقی، منطقهای کسبوکاری، نقاط ضعف منطقی در کنترل دسترسی، نقاط ضعف منطقی در احراز هویت و بسیاری موارد دیگر را به صورت عملی خواهید آموخت.
مدت زمان دوره
مدت زمان این دوره ۱۶ ساعت است و به صورت کلاسهای ۸ ساعته، طی ۲ جلسه به صورت آنلاین از ساعت ۱۰:۰۰ تا ۱۸:۰۰ برگزار میشود. روزهای برگزاری این دوره، پنجشنبه و جمعه ۱۴ و ۱۵ بهمن ۱۴۰۰ خواهد بود.
گواهینامهی دوره
برای دریافت گواهینامهی این دوره، ده روز پس از جلسهی پایانی، آزمونی برگزار خواهد شد که با قبولی در این آزمون، امکان صدور گواهینامهی دوره برای شما را خواهیم داشت. حضور در آزمون پایانی و دریافت گواهینامهی دوره برای شرکتکنندگان اختیاری است.
هزینهی شرکت در آزمون پایانی: ۳۰ هزارتومان
هزینهی چاپ و صدور گواهینامهی دوره: ۵۰ هزارتومان
این دوره به چه افرادی توصیه میشود؟
- کارشناسان ارزیابی امنیت/تست نفوذ/تیم قرمز
- متخصصین فعال در زمینهی Bug Bounty
- مشاورین امنیت سایبری
- توسعهدهندگان وب اپلیکیشنها
برای حضور در این دوره چه دانشهایی باید داشته باشم؟
از آنجایی که در این دوره تنها به آسیبپذیریهای منطقی پرداخته میشود، دانشجو باید با آسیبپذیریهای فنی و مقدمات ارزیابی امنیتی وب اپلیکیشنها آشنایی داشته باشد. همچنین آشنایی با حداقل یک زبان برنامهنویسی میتواند بسیار تاثیرگذار باشد. مهمترین پیشنیازهای این دوره عبارتند از:
- آشنایی با آسیبپذیریهای رایج در وب یا آشنایی با یکی از دورههای 542 SEC و یا 10 OWASP Top
- حداقل یک سال تجربهی کاری در زمینهی امنیت سایبری و تست نفوذ
- آشنایی با یک زبان برنامهنویسی سمت سرور
- آشنایی با Burp Suite
سرفصلهای دوره
Chapter 1: Business Logic
1.1 Logical vs Technical Bugs
1.2 Business Logic & Business Rules
1.3 From client-side controls to Business Logic Error
1.4 Unconventional Inputs
1.5 Dual-Use Endpoints
1.6 Privacy Violation Issues
1.7 Race Condition
1.7.1 Introduction to Race Condition
1.7.2 Exploitation Techniques
1.8 Encryption
1.8.1 Encryption Models
1.8.2 Real World Attack Scenarios
1.9 Prevention Tips
Chapter 2: Access Control Flaws
2.1 Introduction to Access Control Mechanism
2.2 Access Control Types & Models
2.3 Access Control Policies
2.4 Vertical Access Control
2.5 Multi-Step Functionalities
2.6 IDOR
2.7 Real World Scenarios
2.8 Prevention Tips
Chapter 3: Logical Flaws in Authentication
3.1 Password Reset Logical Flaws
3.2 Rate Limit
3.3 SSO Logical Flaws
ویژگی های دوره
- درس 3
- آزمونها 1
- مدت زمان 18 ساعت
- سطح مهارت متوسط
- زبان فارسی و انگلیسی
- دانشجویان 12
- گواهی نامه بله
- ارزیابی بله
2 نظر
با سلام
پیشنهاد میکنم که بازنگری در عنوان این دوره انجام شود. زیرا weblogic نام یکی از اپلیکیشن سرورهای اوراکل است.
https://www.oracle.com/java/weblogic/
بار اول که نام این دوره را دیدم گمان کردم این دوره مختص تست و ارزیابی برنامه های کاربردی مبتنی بر این اپلیکیشن سرور است ولی از توضیحات دوره متوجه شدم که مقصود شما آسیب پذیری های منطقی یک برنامه تحت وب بوده و این دوره ارتباطی با Oracle Weblogic ندارد.
موفق و برقرار باشید.
سلام. وقت شما بخیر. سپاس از توجه و دقت شما و توضیحاتی که دادید. پیشنهاد شما حتما بررسی میشه.